DEX Bunni subit une attaque de smart contract, perdant 2,3 millions de dollars

• Bunni DEX perd 2,3 millions de dollars en stablecoins
• L’exploitation a eu lieu via une faille dans la fonction de distribution de liquidité
• 2025 totalise déjà plus de 3,1 milliards de dollars de pertes

L’exchange décentralisé Bunni a confirmé avoir subi une attaque sur son smart contract, entraînant la perte d’environ 2,3 millions de dollars en stablecoins. L’attaque, survenue le 2 septembre, a conduit la plateforme à suspendre toutes les fonctions de smart contract sur ses réseaux par mesure de précaution.

« Notre application a été affectée par une faille de sécurité. Par précaution, nous avons mis en pause toutes les fonctionnalités de smart contract sur tous les réseaux. Notre équipe enquête activement et fournira bientôt des mises à jour, » a déclaré Bunni dans un post sur X.

🚨 L’application Bunni a été affectée par une faille de sécurité. Par précaution, nous avons mis en pause toutes les fonctions de smart contract sur tous les réseaux. Notre équipe enquête activement et fournira bientôt des mises à jour. Merci pour votre patience.

— Bunni (@bunni_xyz) 2 septembre 2025

La société de sécurité BlockSec a été l’une des premières à détecter l’activité anormale. L’attaquant a exploité une vulnérabilité dans la Liquidity Distribution Function (LDF), une fonctionnalité unique de Bunni conçue pour optimiser l’allocation sur différentes plages de prix et permettre des stratégies plus complexes que celles de Uniswap standard.

ALERTE ! Notre système a détecté une transaction suspecte visant le contrat de @bunni_xyz sur #Ethereum, et la perte est d’environ 2,3 millions de dollars. Veuillez agir dès que possible.

—BlockSec Phalcon (@Phalcon_xyz) 2 septembre 2025

L’attaque a consisté en plusieurs transactions qui ont faussé la logique de rééquilibrage du pool, permettant le retrait de plus de tokens que ce qui était disponible. Après avoir répété le processus plusieurs fois, l’attaquant a consolidé les fonds dans un seul wallet Ethereum, qui détient désormais 1,33 million de dollars en USDC et 1,04 million de dollars en USDT.

L’incident survient à un moment crucial pour Bunni, qui avait récemment atteint une valeur totale verrouillée de 60 millions de dollars et dépassé 1 milliard de dollars de volume d’échanges en août. Lancée en février, la plateforme opère à la fois sur Ethereum et Unichain, en s’appuyant sur la technologie Uniswap V4.

Il s’agit de la première attaque majeure sur les protocoles DeFi en septembre, après un mois d’août marqué par des pertes importantes. Le mois dernier seulement, 16 incidents ont entraîné des pertes totalisant 163 millions de dollars, dont le vol de 91 millions de dollars à une baleine Bitcoin via l’ingénierie sociale et une attaque de 48 millions de dollars contre l’exchange turc BtcTurk.

Avec l’attaque de Bunni, les pertes cumulées en 2025 dépassent déjà 3,1 milliards de dollars, dépassant les 2,2 milliards de dollars enregistrés sur l’ensemble de 2024 et soulignant les risques de sécurité qui continuent de défier le secteur DeFi.